Hỡnh 3.2 Đường đi của packet.
* FORWARD packet (chuyển packet): Một packet để cho host khỏc được gọi là FORWARD packet, đầu tiờn nú chuyển qua chain PREOUTING (trước khi định tuyến) trong bảng mangle, tại đõy packet cú thể bị thay đổi thụng số. Sau đú chuyển qua chain PREOUTING trong bảng NAT, đõy là nơi nguyờn tắc DNAT (Destination Network Addess Translation- chuyển đổi địa chỉ đớch) được ỏp dụng vào.
- Đối với packet đi vào mỏy, nú sẽ qua chain INPUT. Tại chain INPUT, packet cú thể được chấp nhận hoặc huỷ bỏ. Tiếp theo packet sẽ được chuyển lờn cho cỏc ứng dụng (client/server) xử lớ và tiếp theo là được chuyển ra chain OUTPUT. Tại chain OUTPUT, packet cú thể bị thay đổi cỏc thụng số và bị lọc chấp nhận hay bị huỷ bỏ.
- Đối với packet forward qua mỏy, packet sau khi rời chain PREROUTING sẽ qua chain FORWARD trong bảng filter, tại chain FORWARD chỉ những nguyờn tắc lọc mới được ỏp vào (ACCEPT hoặc DENY).
- Sau khi packet qua chain FORWARD hoặc chain OUTPUT sẽ được chuyển qua chain POSTROUTING (sau khi định tuyến) trong bảng NAT, trong chain này cỏc nguyờn tắc SNAT (source Network Address Tranlation - đổi địa chỉ IP nguồn) được ỏp vào hoặc MASQUERADE, cuối cựng packet được chuyển ra giao diện bờn ngoài.
tiờn được chuyển sang chain OUTPUT của bảng mangle, sau đú chỳng chuyển qua chain OUTPUT của bảng NAT, sau đú chuyển qua chain OUTPUT của bảng filter. Khi packet chuyển qua chain này, hệ thống xỏc định nơi packet được định tuyến, khi đó quyết định được định tuyến packet chuyển qua chain POSTOUTING trong bảng NAT, đõy là nơi nguyờn tắc SNAT được ỏp vào, packet chuyển qua giao diện thớch hợp.
* Receive packet (Nhận packet): packet được chuyển đến host cục bộ, đầu tiờn nú được chuyển đến chain PREOUTTING trong bảng mangle, sau đú được chuyển qua chain PREOUTING trong bảng NAT. Đõy là nơi nguyờn tắc DNAT được ỏp vào, sau khi nguyờn tắc DNAT được ỏp vào thỡ định tuyến được quyết định, sau đú packet được chuyển qua chain OUTPUT trong bảng filter, cuối cựng packet được chuyển vào tiến trỡnh hoặc ứng dụng thớch hợp.